张勇:数据安全分类分级的刑法保护
点击蓝字
关注我们
张勇:华东政法大学刑事法学院教授、博士生导师,法学博士。
本文原载《法治研究》2021 年第3 期,转载对注释与参考文献进行了省略。
摘要
数据是信息的载体,信息是数据的内容,数据安全法益具有独立性和层次性。刑法应当以数据安全为核心,通过数据风险识别和利益衡量,区分与数据安全相关的个体权益、公共利益和国家安全,进行不同层面的法益保护。数据分类分级为数据安全保障提供制度支撑,对于数据犯罪的认定具有重要功能。在数据分类分级的基础上,根据数据安全的法益性质及其所受侵害,对数据犯罪进行罪质界定和罪量评价,并对数据安全保护的关联罪名予以界分。
关键词
数据安全;法益识别;数据犯罪;分类分级
一、序言
伴随着互联网技术的发展,各种信息数据在网络空间快速流动,实现着现实社会与虚拟世界的紧密联结。海量的网络数据蕴藏着丰富的经济价值,也成为违法犯罪分子觊觎的对象。近些年来,非法获取和泄露信息数据现象层出不穷,传统的犯罪类型借助互联网不断发生着“变异”,新型信息网络犯罪滋生,不仅危及个人信息安全(即“信息安全”)和计算机信息系统安全(即“网络安全”),更直接给信息的载体——数据安全带来与日俱增的风险,也产生了针对数据自身安全独立保护的法律需求。我国先后制定出台了《国家安全法》和《网络安全法》,将信息网络安全上升到国家安全高度予以法律保障;随后,《数据安全法》被纳入立法规划,目前草案正在征求意见中。同时,《数据安全管理办法(征求意见稿)》等配套性规范文件也相继出台。作为数据安全领域的基本法,其承载着解决我国数据安全内外部风险、构建数据安全核心制度框架的重要任务。从整体来看,目前我国数据安全的法律保护缺乏系统设计和制度安排,各法律法规之间相对分散,缺乏有效的衔接与协调。数据安全具有自身的法益特征,与信息安全、网络安全的性质不同,法律保护的重心也有不同。仅依托既有的信息安全、网络安全领域的法律法规,已经不能满足对数据安全保障的现实需求。刑事立法层面,自1997年《刑法》对传统意义上的计算机信息系统安全加以保护,从2009年《刑法修正案(七)》、2011年“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(简称《计算机安全刑案解释》)到2015年《刑法修正案(九)》,数据安全刑事立法经历了从附属保护到间接保护、再趋向独立保护的发展过程。在风险社会背景下,公共安全犯罪成为刑法惩治的重点。2020年11月26日全国人大常委会通过《刑法修正案(十一)》对公共安全类犯罪进行了修订,设置独立危险犯。但在司法实践中,公共安全抽象法益的识别和判断、数据犯罪的定罪量刑标准成为难点。《计算机安全刑案解释》以计算机信息系统所实际遭受侵害的数额或数量作为入罪标准,但难以准确反映数据犯罪对数据安全法益的侵害程度。值得关注的是,《数据安全法(草案)》第19条规定了数据分类分级制度。数据分类分级具有数据安全法益识别功能,能够为认定数据犯罪提供罪质和罪量的评价依据,并实现相关罪名的衔接协调,有助于构建和完善数据安全保护的法律体系。本文对此略作探讨。
二、数据、数据安全及其法益识别
我国相关法律法规对“数据”的概念一直未予明确界定。《数据安全法(草案)》第3条规定,数据是指“任何以电子或者非电子形式的信息的记录”。有学者指出,《数据安全法》的规制对象应限于上述“网络数据”(包括线下的电子数据),而不应包括“非电子化数据”。因为诸如财政数据、经济数据、统计数据等非电子数据以物理形态存在,很难进行异地跨境自由流动,基本不涉及公共安全问题,应由《统计法》《政府信息公开条例》等法律法规调整,而没必要由《数据安全法》进行规制。在互联网背景下,应将“数据”限定为计算机信息系统所记载的、能够识别特定用户信息的个人数据。在界定“数据”本身概念的基础上,以下就数据与信息的范畴关系、数据安全的法益属性予以分析。
(一)数据、信息与计算机信息系统
在国外,许多国家的法律法规对数据和信息未加以区分,如欧盟的《通用数据保护条例》(GDPR)对“个人数据”的保护就是对可识别或已识别“个人信息”的保护。我国采取分散式立法模式,信息、数据、个人信息、个人数据、个人资料、个人隐私、个人电子信息等称谓屡见不鲜,信息与数据的范畴关系难以厘清。有的观点将数据与信息等同,有的认为数据大于信息,有的则认为数据小于信息;在我国《刑法》规定的相关罪名中,“数据”与“信息”的概念关系也难以区分,有必要予以厘清。
首先,从数据的本质属性来看,“数据”和“信息”两个概念既有紧密联系又存在区别。从国外立法来看,欧盟于1991年制定的《信息技术安全评估准则》(ITSEC)首次提出了包含数据的保密性、完整性、可用性“三要素”,对数据占有主体赋予了较为严格的规范保护义务,建立了以数据用户权益保障为核心的数据安全保护体系。国际标准化组织ISO认为,数据是以一种适合沟通、解释或处理的形式化方式,对信息的可解释性呈现。值得注意的是,我国新近出台的《信息安全技术信息安全事件分类分级指南》(征求意见稿)3.5规定,数据是指“关于可感知或可想象到的任何事物的事实”;同时3.6规定,信息即“有意义的数据”。由此看出,数据和信息可谓是“一体两面”,数据是信息的形式和载体,信息则是数据可以表达的内容。就某个特定场景而言,数据和信息是很难分离的。但在计算机信息系统中,有些数值虽然对于计算机信息系统或某些程序本身的运行必不可少,但却不一定体现为对外的信息内容,也不能被人所识别。信息时代的数据范畴比信息要大。相对来说,对于个人信息的保护,法律更加关注信息的“保密性”,即信息权利主体对个人信息的“能够知悉的状态”;侵犯公民个人信息罪中“非法获取、披露、使用或允许他人使用”的行为所侵犯的法益是个人信息的保密性。而对于数据来说,其对应的数据主体权利属性却并非仅为“保密性”,法律所保护的是数据主体的使用权益,避免数据被他人非法获取、删改、压缩或者使用,这一点与个人信息权利属性不同。
其次,从数据的表现形式来看,传统的计算机时代,数据仅包括特定类型的结构化数据和静态的数据库。而在信息时代,不仅数据的存储和处理设备发生了根本性变革,数据所承载的信息的内容也发生了根本变化,无论是单个数据的集合,还是经过数据集合的技术处理而生成的有价值的数据,数据的内涵都远远大于信息。对于诸如文本、声频、视像等半结构化、非结构化的数据来说,其本身就已经是信息,不再是对客体简单的测量数值,而是对自然人社会活动的不间断自动化记录。有些看似简单且杂乱的半结构化、非结构化数据经过成规模的收集和处理后,可能展示出重要的信息。与之同时,计算机信息系统的终端计算能力明显弱化,存储、处理、传输都不是针对数据的主要技术过程。网络空间里的数据由计算机信息系统的技术传输对象逐渐变成了现实载体,对信息系统技术性无重要意义的数据,可能是大数据时代法律所要重点关注的对象,因而,数据法益具有独立的技术属性与法律地位,并成为法益保护对象和主体内容。
(二)数据安全的法益识别与利益衡量
从学理角度,“数据安全”是一个较为宽泛的概念,有学者将此概括为“自身安全”“自主可控”和“宏观安全”三个层面,其中数据的“自身安全”是数据的保密性、完整性、可用性的内在要求。以往我国对数据安全的保护主要依赖于对计算机信息系统安全或商业秘密、著作权等权益的法律法规,处于附属和次要的地位。在大数据背景下,随着数据从静态安全到动态流动、利用的转变,互联网实现了由“计算”到“数据”的重心转换,被整合为一个以数据为中心的收集、存储、处理和应用系统。数据安全作为一项独立法益逐渐得到立法的认可。《数据安全法(草案)》第3条规定,“数据安全”是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。法律首先应保护数据利益主体对数据的排他性复制、使用与处分权益;同时,在数据的流动和使用过程中,初始权利主体逐渐不再拥有对个人数据的完全控制,数据利益主体也呈现多元化,扩展至收集者、使用者及处理者。因此,数据法益越来越多地呈现出社会公共性,数据安全利益谱系也具有个人安全、公共安全和国家安全不同层面,并且国家安全更为重要,具有优先的法益地位。
传统刑法对法益的保护是以法益已经实际受到侵害或者存在被侵害的危险为前提的;而在风险社会背景下,刑法关注的是行为人所制造的风险,主张尽可能淡化、稀释法益的内容,刑法中“设置大量表述模糊的公共法益”,因而“风险刑法”也被称为“象征刑法”“功能刑法”。在信息时代,“数据风险”成为新型的社会风险因素,具有高频度、可变性和不可预见性,呈现“法益侵害风险社会化”的趋向。从动态过程上看,在数据收集、处理和使用的各个阶段均存在数据法益遭受侵害的风险。数据的非法获取、破坏和滥用,不但会对个体权益造成严重侵害,还会对公共利益、社会秩序和国家安全造成实际侵害或危险。数据安全具有脆弱性、易受攻击性和不可控制性,属于抽象法益、集体法益,实践中存在认定上的困难。然而,数据安全作为一种“集体法益”可以被还原为个体的人身或财产权益,因而也是可感知、可评价、可衡量的,数据安全的法益保护具有现实可能性,“不能轻易放弃相对明确性的要求”。
根据风险管理的一般理论,风险识别是国家政府和社会组织进行风险管理的基础,从社会治理角度,“依托精细化的技术治理可以实现有效提升治理效率并规制和防范风险”。然而,从刑事规制角度,不是所有的数据利益都是刑法上值得保护的法益,只有经过风险识别之后才能被看作是刑法值得保护的法益。刑法对数据风险的识别,是将数据安全法益规范化的过程,即在刑法规范层面,基于数据处理过程的某种危害行为对数据安全所造成的实质侵害或危险的评价,确定是否有必要追究刑事责任以及刑事责任大小。从刑法角度,数据风险识别包括两层含义:其一,判断某种数据所承载的利益是否能够上升为刑法法益。基于刑法的谦抑性,对于尚未上升为法益的利益,不能只依赖刑法保护;对于已经上升为法益的利益,也首先需要考虑技术手段和其他法律手段,最后才能依靠刑法手段。其二,数据处理行为所侵犯的数据利益是何种刑法法益。例如,数据利益既可以体现为计算机信息系统的功能,也可以体现为公民个人的隐私或者公司的商业秘密,还可以体现为虚拟财产权或者著作权等。有学者归纳出我国刑法对“个人数据”的保护模式有四种,即经济秩序保护、人格权保护、物权保护与公共秩序保护,正是基于数据法益性质及保护层次作出的分类归纳。
在风险社会背景下,如何平衡个人数据权利主体与数据控制者、数据使用者之间的利益冲突,是刑法保护数据安全法益时必须考量的首要问题。刑法作为制裁措施最为严厉的部门法以及其他法的保障法,不可能将所有危害社会的行为均纳入刑法规制,因而在法益识别和筛选方面更加严格,不会将所有利益因素均纳入保护范围,而是经过利益衡量后更值得刑法保护的法益类型。对某种罪名的认定是以最重要的保护法益为核心,对其构成要件进行解释,在罪刑法定框架下加以利益衡量。在围绕数据安全的利益衡量过程中,刑法因将保护数据安全放在优先位置,通过规范个人数据收集和使用行为、厘清个人数据保护与开发利用的关系,实现数据权利主体与数据控制者、数据使用者的利益平衡。而在数据的个人安全、公共安全、国家安全之间,也应当坚持“数据正义”的原则,不能片面强调个人安全法益而舍弃公共安全、国家安全法益的保护,反之亦然,应兼顾两者之间的平衡。
三、数据安全等级保护与分类分级
数据安全法益的界定是数据安全立法的立足点,无论现有的信息网络安全立法,还是将来的数据安全立法,等级化保护都是一项基本制度。数据分类分级对数据安全具有重要的法益识别和风险防范的功能。刑法对数据安全的保护,首先要对各种数据的法益性质予以识别,通过数据分类分级,认识和把握数据类型、结构、组织、粒度、生命周期,以及由此形成不同层级的数据安全法益侵害风险和保护需求,在此基础上,确定法律保护的重心,并将其作为数据犯罪罪质和罪量的评价依据。在信息安全领域,国家市场监督管理总局、国家标准化管理委员会制定出台了一系列有关计算机系统安全等级保护的行业规范文件,对计算机信息系统安全等级化保护作出规范要求。《数据安全法(草案)》第19条规定:“国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行数据分类分级保护”。以下对数据分类与分级及其相互关系予以分析。
(一)数据分类与数据分级
首先,所谓“数据分类”,是指根据数据的属性进行区分和归类,通过明确数据的本质、属性、权属及其相关关系,了解各个数据是如何被使用的,确定哪些数据属于何种类别。在数据分类方面,美国对受控非密信息的管理制度可资借鉴。该制度主要按照行业将受控非密信息分为二十大类,如隐私、专利、移民、金融、商业信息、税收、交通等。这些大类又被细分为许多子类,每个类别都有对应的子类别。比如,隐私类被细分为合同使用、死亡记录、一般隐私信息、遗传信息、健康信息等子类别。每个子类均有详细的定义、各自的强制分类标识、所对应的分级保护标准以及相应的法律责任。我国目前对于数据分类保护规制最多的行业主要是金融业,其基本的分类路径是按照影响对象、影响范围、影响程度对数据进行大类别划分,再通过对业务和数据细分。《网络安全法》第31条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。参照以上规定,考虑到不同领域的数据有不同的鲜明特性,数据分类可以按照数据领域的划分为主,将数据区分为金融、交通、能源、医疗健康、电子政务等领域的数据。
其次,所谓“数据分级”,是指按照一定的分级原则对分类后的组织数据进行定级。通过对数据的分类分级,识别数据对组织的具体价值,确定以何种适当的策略,保护数据的完整性、保密性和可用性。例如,基于数据主权观念,世界各国对数据流向一般都进行数据出口限制,许多国家作出数据存储本地化的要求。我国对中国公民个人信息的跨境流动作了规范要求,敏感程度不同的数据在内部使用时受到的保护策略不同,对外共享开放的程度也有差异。对于涉密数据,遵循国家相关法规标准进行分级和管理。《数据安全法(草案)》第19条、第25条、第28条均涉及“重要数据”的规范,然而该草案没有对“重要数据”做出定义,也未能回应《网络安全法》第21条、第37条关于“重要数据”的安全等级保护与境内储存原则的规范。参照上述规定,按照对国家安全和重大社会公共利益的危害程度,可以将不同领域的数据划分为三个层次,按重要性大小分别是“重要数据”“受控数据”和“一般数据”。其中,“重要数据”是指直接关系国家安全的数据;“受控数据”是指可能影响国家安全而应予限制传播的数据,两者应当是《数据安全法》规范和保护的重点。
(二)数据分类与分级的关系
就数据分类与分级的关系来看,两者属于不同维度,但密不可分。从逻辑顺序上,应当是先“分类”后“分级”,两者结合起来完成对数据法益的识别和判断。《信息安全事件分类分级指南(征求意见稿)》附录A规定了信息安全事件分类与事件分级的关系,指出一个信息安全事件类别可能具有不同的严重级别,这不仅取决于业务,还取决于信息安全事件的性质,如故意性、目标性、时机、量级。《网络安全等级保护定级指南》4.2规定了决定等级保护对象级别的两个定级要素;4.3规定了定级要素与安全保护等级的关系,如下表:
通过以上表格可以看出,受侵害的客体与对客体的侵害程度包含着许多变量因素,同一类的受侵害客体,所遭受侵害程度不同,保护等级也会有不同情况;不同类的受侵害客体,虽然法益性质轻重有别,但由于所遭受侵害程度也有轻重差别,也可能处于同一保护级别。同样地,同一种类的数据由于定级要素的变化,可能处于不同保护等级;反之,不同种类的数据,由于客体所遭受侵害程度相同,也可能得到相同级别的保护。对数据安全的法律保护应当以数据安全为核心,在对不同领域的数据进行分类的基础上,综合考虑影响分级的各种定级要素,确定数据安全保护的不同层级采取不同方式加以保护。例如,对于反映个人网络行为轨迹信息的数据,诸如浏览器搜索关键词、用户操作记录,通过互联网观看、收听、阅读视听内容的记录,支付软件的交易记录,软件翻译记录,位置踪迹,网购足迹,智能穿戴设备收集的身体体征信息,系统错误报告信息等,不能将其笼统地纳入公民个人信息法律保护范围,而应结合个人行为轨迹信息的存在形态、样本数量、与其他信息数据的结合程度进行大致的分类,采用不同等级的保护标准。一是强等级保护。对于个人隐私信息数据应强调其“私密性”,强化其防御性保护,非特定情形不得处理;二是次强等级保护。对于个人财产信息数据中的交易消费记录、虚拟财产信息,以及个人的行踪轨迹、网页浏览记录、住宿信息、精准定位信息,数据控制者收集该类数据必须获得数据主体明示同意,同时,数据控制者要遵循合法收集、目的限制、最小够用等原则,数据主体享有查询、更正、删除、撤回同意等权利;三是弱等级保护。对于智能穿戴设备收集的身体体征信息数据,系统错误报告,用户改善计划,用户接入网络的方式、类型和状态,网络质量数据,设备加速器等,数据控制者收集该类数据只须获得数据主体默示同意即可;四是最弱等级保护。对于匿名信息数据,可分为单一的行为轨迹信息和偶然的“标签化”行为轨迹信息两类,再根据其数据安全法益的重要程度进行选择不同的保护模式,兹不赘述。
四、数据犯罪的刑法规制及其不足
互联网的发展经历了从计算机信息系统、信息网络到网络数据的核心转变,与之相对应,数据安全领域的犯罪也呈现出“犯罪对象”“犯罪工具”“犯罪空间”的三种类型。与传统犯罪不同,数据犯罪是以数据为载体,表征传统的人身或财产法益,是传统犯罪的数字化和“网络异化”。互联网背景下,日益增生泛滥的信息数据犯罪给刑事立法提出新的挑战。
(一)数据犯罪的内涵及刑事立法比较
从狭义角度,“数据犯罪”是指所有与数据有关的犯罪,以数据为对象、以数据为载体、以数据为工具的犯罪,其中包括了信息安全、网络安全领域的相关罪名。本文中的“数据犯罪”是从狭义层面来理解的,即直接以数据为对象、侵害数据安全法益的犯罪。具体来说,包括《刑法》第285条的非法获取计算机信息系统数据罪、第286条第2款破坏计算机信息系统罪中“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”的规定,但同时,也将其放入数据安全保护的罪名体系中加以认识和把握。因为,与数据安全法益保护相关的罪名明显不限于狭义的数据犯罪。其中,既有传统的扰乱社会秩序的犯罪在网络空间中的“异化”情形,也有以网络终端、网络运行、网络数据等为犯罪对象的情形。因此,广义上的数据犯罪包括所有以数据为对象、载体或工具,侵犯公民个人权益、社会秩序或公共利益、国家安全的犯罪。有的罪名是将数据作为信息加以保护,有的罪名则是将数据作为计算机信息系统的内在组成部分加以保护。不同罪名的法益性质不同,保护重心不同,相互之间也存在重合和交织。这些罪名均具有“公共安全”法益的共同属性,在数据安全法益的界域内,以数据为对象的犯罪为主要罪名,以信息安全、网络安全为保护法益的犯罪为紧密关联罪名,共同构成数据安全法益保护的罪名体系。
近年来,世界各国频繁修改甚至重新制定刑法典,刑事立法出现活跃化趋势,犯罪化、处罚的早期化、重刑化是其主要表现。欧盟的许多国家从上世纪80年代开始不断修改涉及计算机信息网络领域的犯罪。2001年欧洲理事会制定的《网络犯罪公约》成为各国刑事立法范本。该公约第1条、第4条、第5条分别规定了“非法存取”“数据干扰”“数据窃探”等直接以数据为对象的犯罪行为。法国刑法典设专章规定了“侵犯资料自动处理系统罪”,分别对侵害计算机信息系统、侵害计算机存储数据等行为及其处罚作出了规定。德国刑法典围绕数据资料设立了资料伪造罪、变更资料罪,尤其是对企业信息数据安全予以特殊保护,对侵犯数据安全、干扰数据正常运行的行为予以刑事制裁,这与我国现行《刑法》以保护计算机信息系统为中心的立法模式不同。值得关注的是,德国刑法中的数据犯罪涵盖了数据流通过程中的诸多环节,囊括了非法探知、截留、预备探知或截留、窝藏、变更数据等犯罪行为,通过对预备行为的实行化、处罚未遂犯等方式加大对数据犯罪的打击力度。上述立法经验值得我国借鉴。
(二)我国数据安全刑法保护的不足
应当看到,大数据时代围绕数据动态处理模式的革新,作为对象的数据的范围发生了巨大变化,数据犯罪的行为手段日趋技术化、多样化,如拖库撞库、数据拦截、木马植入、网络爬虫等,这种技术范式的转变必然要求法律规范层面进行相应的转变。然而,现行《刑法》对数据安全的保护是静态的、偏重于对计算机信息系统安全的保护,现有刑法和司法解释也是以“计算机信息系统安全”为中心,通过扩大解释其涵摄范围,强化对数据犯罪的刑法规制。从数据安全保护角度,这种立法模式在观念和规范层面均存在不足。
首先,《刑法》第285条、第286条规定的非法侵入计算机信息系统罪和破坏计算机信息系统罪。其中,非法侵入计算机信息系统罪的适用范围限定在对数据进行处理的计算机信息系统之内,且计算机信息系统的范围仅限于“国家事务、国防建设、尖端科学技术领域”,没有直接以“数据安全”作为保护对象。同样的,破坏计算机信息系统罪也忽视了计算机信息系统中存储、传输或者处理的数据的独立价值,导致数据犯罪与其他计算机信息网络犯罪的罪名适用争议。
其次,《刑法修正案(七)》在第285条增设非法获取计算机信息系统数据罪,非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪。在上述罪名中,被侵害的并非技术层面的网络安全,而是作为信息载体的数据安全。信息时代,“计算机信息系统安全”也成为一个多维概念,包括作为信息载体的数据安全、承担信息技术处理的计算机信息系统功能运行安全,以及负责计算机信息传输的通信网络安全。但《刑法修正案(七)》对上述罪名依然沿用了“计算机信息系统数据”的概念,固守数据的封闭性、静态性和从属性,涵摄内容范围较为狭窄,无法适应网络数据内容、类型多样化的特点和要求。
再次,《计算机安全刑案解释》第1条对《刑法》第285条第2款的“情节严重”作了进一步解释,其中对于数据的类型规定比较单一,仅限于身份认证信息,将犯罪对象严格限缩为与身份认证信息有关的“数据”,而并没有将“数据”从“信息系统”中分离出来加以独立保护。此种数据类型过于附着于信息系统功能,法律没有关注数据自身内容属性上的价值与保护必要,而且类型单一、范围狭窄,局限于以验证为内容的数据。而在实践中,已经发生大规模窃取具有身份认证信息之外系统数据的违法犯罪活动,部分行为已被认定为属于非法获取计算机信息系统数据罪中的“数据”,如窃取网络账户的密码、行踪信息,“数据”的范围实际上得以扩充。该司法解释首次使用了“计算机系统”的术语,将几乎所有与计算机相关联的网络终端设备都扩张解释为计算机信息系统。然而,该解释始终未区分数据的对象功能和媒介、工具功能,未能结合独立的数据安全法益来加以说明,而是将所有以数据为载体的法益侵害行为都涵盖进来,“数据犯罪”最终为传统的计算机安全犯罪所遮蔽,这显然是不合理的,实践中也会导致数据犯罪罪名的滥用。有学者就指出,非法获取计算机信息系统数据罪和破坏计算机信息系统罪都有成为“口袋罪”的趋势,主张对该罪名中的“数据”对象范围进行限缩解释。
最后,《刑法修正案(九)》加大了对信息安全的保护力度,将侵害个人信息的两个专属罪名合并为侵犯公民个人信息罪,取消了主体身份限制、通过加档提升法定刑加重了处罚力度。2017年“两高”出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息刑案解释》)明确界定了“公民个人信息”的范围、细化了入罪标准。《刑法修正案(九)》颁布时正处于互联网由以信息网络为主导向以网络数据为主导的代际过渡阶段,缺乏一定的前瞻性,仍未对数据概念进行扩容和法律地位独立化,而是将其杂糅进计算机信息系统数据以及公民个人信息等概念中予以模糊化处理,导致司法实践中因法益性质界定不清,罪名适用产生偏差。例如,侵犯公民个人信息罪对侵害“个人信息”的行为方式只包括了非法获取、出售和提供,对于非法修改、删除个人重要信息的行为无法适用侵犯公民个人信息罪处理,最后只能认定为破坏型数据犯罪。由于数据安全犯罪与信息安全犯罪、网络安全犯罪存在刑法错位,如果以“计算机信息系统安全”为该罪法益指导破坏型数据犯罪适用,将计算机信息系统功能是否受到破坏以及破坏程度作为入罪标准,将难以区分破坏型数据犯罪与非法控制计算机信息系统罪,也难以合理限定数据犯罪的处罚范围。
五、数据分类分级的定罪量刑功能
对于数据犯罪来说,法益的识别具有重要的犯罪构成要件“解释论机能”。不同种类的数据所蕴含的法益性质不同,对数据安全保护的重要性也有差别,所需要保护的安全层级也不同。学界一般认为,我国《刑法》中非法获取计算机系统数据罪和破坏计算机系统罪的保护法益是一种秩序法益或抽象法益,即“计算机信息系统管理秩序或制度”;两种罪名的定罪量刑标准一般都是“情节严重”“严重后果”等综合性规定。然而,由于网络空间的虚拟性和技术性,刑法中管理秩序法益的抽象化,会使司法机关对相关罪名的定罪量刑产生困难。为了避免数据犯罪出现司法适用的“口袋化”或“虚置化”倾向,有必要通过数据分类分级,以数据安全保护为核心,合理界定数据的法益属性和保护等级,使其在对数据犯罪的罪质界定与罪量评价方面发挥积极作用。
(一)数据分类与数据犯罪的罪质界定
确定数据犯罪的入罪门槛,区分数据犯罪与相关罪名的关键在于法益性质的界定。通过识别和判断作为某种犯罪对象的数据所反映的客体性质、客体所遭受的侵害程度,明确其对数据安全的重要程度和保护等级,对犯罪行为的罪质予以评价,决定是否适用、如何适用数据犯罪及其他相关罪名。
1. 数据犯罪对象保护等级与入罪门槛的确定。信息时代背景下,刑法应当以动态的、独立的、开放的数据概念逐步取代静态的、附属的、封闭的“计算机信息系统数据”的概念。例如,《刑法》第285条规定的非法获取计算机信息系统数据罪,该罪名将保护对象范围限定于“身份认证信息”,与侵犯公民个人信息罪中的“公民个人信息”对象范围产生重合,为司法机关带来定罪上的困难。实践中,应当通过司法解释适度扩张该罪名适用的对象范围,将所有能够识别出用户身份、行为等信息的网络数据均纳入刑法保护范围。再如,《数据安全法(草案》第四章“数据安全保护义务”中规定,对“重要数据”的处理者做出了更严格的要求,如设立数据安全负责人和管理机构、落实数据安全保护责任、定期开展风险评估等,并对重要数据跨境转移流动予以严格限制。如果相关个体或组织违反了上述规定义务,则可能面临不作为的刑事责任承担。司法机关可以通过数据分类分级,综合考虑主客观方面的各种定级要素,设定数据的篡改、假冒、泄露、窃取、拦截等不同数据处理行为的入罪门槛,在对处于最低保护等级的普通数据设定入罪标准的基础上,对处于较高、最高保护等级的数据就可以相应地设置更低的入罪门槛。当然,数据的定级要素诸如危害方式、危害后果和危害程度都是变量的,对于涉及国家安全、社会秩序、公共利益与公民个体权益等不同法益性质的数据犯罪,其保护级别和入罪门槛也会产生交叉和重合。建议司法机关通过制定相关罪名的定罪量刑指导意见,列举不同罪名在分类分级的不同情况下具体的定罪标准,供办案人员参照适用,同时也保留适当的裁量空间,以便在数据的定级要素出现复杂变化情况时作出灵活应对。
2. 非法获取计算机信息系统数据的罪质界定。比较来看,《刑法》第285条的非法获取计算机信息系统数据罪与处于同一条款的非法侵入计算机信息系统罪的适用对象是互斥排他的关系。后种罪名的适用对象范围为“国家事务、国防建设、尖端科学技术领域”的计算机信息系统,前种罪名的适用对象范围即被限缩在该重要领域以外的计算机信息系统数据。但究竟如何认定“国家事务、国防建设、尖端科学技术领域”缺乏明确标准,对此,《计算机安全刑案解释》也未予以明确。要从根本上解决此定罪难题,首先应确定某种计算机信息系统数据是否属于“国家事务、国防建设、尖端科学技术领域”的数据类别,从而确定上述两罪名的适用对象范围。值得关注的是,国家司法机关在《计算机安全刑案解释》制定过程中,曾设想将如下条件作为判断是否属于“国家事务、国防建设与尖端科学技术领域”计算机信息系统的标准,即“国家机关、军队、国防工业、科研领域中的下列计算机信息系统属于《刑法》第285条第1款规定的‘国家事务、国防建设、尖端科学技术领域的计算机信息系统’:安全保护等级达到三级以上的计算机信息系统;秘密级以上的涉密计算机信息系统;其他关系国家安全、社会秩序和公共利益的重要计算机信息系统。”这种设想的基本思路是在对数据犯罪对象分类分级的基础上设定入罪标准,是值得肯定的。
3. 破坏计算机信息系统罪中“删除、修改、增加数据”的罪质界定。不少学者主张,本罪中“删除、修改、增加数据”行为必须导致计算机信息系统不能正常运行或至少与信息系统安全具有关联性,才能构成犯罪。如有学者认为,刑法中“删除、修改、增加数据”的行为“都要求达到使数据丧失正常功效,影响数据的正常使用或运行的程度”;还有学者认为,“既然第285条第2款的规范目的是保护数据本身的安全,则从合逻辑的角度而言,第286条第2款的规范目的也应当是一般的数据与应用程序的安全。”司法实践中,也有不少判决将影响计算机信息系统功能作为入罪标准。例如,在国内首起“流量劫持”案即“付宣豪、黄子超DNS劫持案”中,法院生效裁判认为,被告人使用恶意代码修改互联网用户路由器的DNS设置,将用户访问导航网站的流量劫持到其设置的导航网站,并将获取的互联网用户流量出售,显然是对网络用户的计算机信息系统功能进行破坏、致使系统不能正常运行,其行为符合破坏计算机信息系统罪的客观行为要件。再如,最高人民法院于2020年12月31日发布第26批指导性案例中的“张竣杰等非法控制计算机信息系统案”,法院生效裁判认为,被告人通过植入木马程序的方式,非法获取网站服务器的控制权限,进而通过修改、增加计算机信息系统数据,向相关计算机信息系统上传网页链接代码的,应当认定为非法控制计算机信息系统的行为;通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,应当认定为非法控制计算机信息系统罪。前者所侵犯的法益是计算机信息系统的运行安全,须导致计算机信息系统本身不能正常运行;而后者所侵犯的法益为计算机信息系统的保密性和控制性。可见,判断行为所侵害的法益是数据安全还是计算机信息系统安全,是区分两罪的关键。
4. 数据犯罪与传统犯罪的法益界分及罪名适用。在数据犯罪中,数据是作为犯罪对象,行为人以侵犯数据安全法益为目的,而不是行为人实施其他犯罪的工具或手段,这是数据犯罪与侵犯人身、财产权益等传统犯罪区别的关键所在。实践中,行为人单纯获取、删除、修改、增加数据的情形较少,多数是通过对数据法益的侵害来实现非法取财、获取个人信息、商业秘密等其他目的,应构成侵犯公民个人信息罪、侵犯商业秘密罪等相应的罪名。数据与信息具有互通性,涉及到个人信息的数据犯罪,在定罪时可以参考《个人信息刑案解释》规定的数额、数量或情节标准,在此基础上,还要考虑行为对数据安全法益所造成的侵害或影响。须指出,数据安全法益和人身、财产等传统法益之间是非此即彼关系,而非包容关系,这决定了数据犯罪与传统犯罪在法条关系上呈现出中立关系,而非竞合关系。对于一个侵犯数据的行为,因为作为犯罪对象的“数据”具有单一性,只能评价为一罪。而不可能同时对“数据”进行多次法益评价,认定不同罪名进而适用法条竞合或想象竞合犯,应当按照从一重罪论处;处刑时,还须综合考虑信息的公开程度、数据的技术保护措施严密程度进行裁量。
(二)数据分级与数据犯罪的罪量评价
我国《刑法》中数据犯罪的构成要件采取“定性+定量”的立法模式,“情节严重”是常见的罪状表述方式。传统的犯罪定量标准如数额、物数、人数、次数、人次等,在信息时代背景下,其适用范围和定罪量刑价值逐渐发生变化,特别是对于信息网络犯罪,原来在经济犯罪、财产犯罪的定罪标准中起着决定作用和主要地位的犯罪数额,如违法所得数额、经济损失数额等,变得不再那么重要。随着数字化技术的广泛运用,数据犯罪的定罪标准从“数额为主,情节为辅”转向“数额与情节并重”或“以情节为主”的模式。在此情况下,应当在数据分类分级的基础上,根据数据安全法益保护的必要性及重要程度,明确数据犯罪的数额或数量标准和综合性情节的罪量评价要素。
《计算机安全刑案解释》第1条对非法获取计算机信息系统数据罪的“情节严重”定罪标准进行了列举,包括数额标准和物数标准,如经济损失、违法所得、计算机台数、身份认证信息组数等。但上述标准均弱化了“后果”“情节”与数据安全法益的关联性,未能充分体现数据犯罪法益侵害性;该解释第4条对破坏计算机信息系统罪的定罪标准“后果严重”规定了数据赖以储存的计算机台数,违法所得或经济损失数额以及造成为一定数量计算机或用户服务的计算机信息系统不能正常运行的小时数等。然而,当行为人侵害的数据并非储存于“计算机信息系统”中时,该台数标准便无法适用,引发司法认定难题。对数据犯罪的罪量不能仅仅从行为对公民个人所造成的实际侵害或损失加以评价,而应当更多地考虑行为对社会秩序、公共利益乃至国家安全的侵害或影响。数据犯罪的罪量评价标准除了行为人违法所得、被害人经济损失、被侵害的数据或数量因素之外,还包括影响国家、社会或个人正常的工作秩序或生活秩序,或造成恶劣社会影响等综合情形。随着信息技术的不断发展,原有的数据安全定级要素会增加新的内容,罪量评价标准也会随之发生变化,诸如数据流量、安全漏洞数,注册会员数、点击浏览或下载数量、系统正常运行时长、网络中断时长及影响用户数、网络故障导致的事故损害后果等。非法获取、删除、修改、增加数据对社会秩序、公共利益或国家安全的侵害和影响越大,这些罪量因素的定罪量刑作用也越来越重要。须指出,上述罪量因素中有的具有明显定量特征,如果经过司法实践检验进行“数量化”是切实可行的,国家司法机关就可以通过司法解释明确规定其为定罪量刑的具体数量标准;有的罪量因素是比较模糊和抽象的,则不一定被明确规定为具体数量标准,但可以放入“情节严重”或“后果严重”中综合加以考量。另外,数据安全法益本身是抽象的,在设定罪量标准时,没必要一味追求数据分类分级的定量化,这样也容易导致实践操作的刻板僵化。相关司法解释应当设置一定的柔性规范或兜底规定,允许法官在个案审理中保留一定自由裁量空间,这样更有助于实现定罪量刑的实质公正。
六、结语
互联网时代,数据安全面临着前所未有的被侵害风险,无论是与数据有关的公民个人权益、公共利益、社会秩序还是国家安全,刑法所保护的数据法益已无法依附于“计算机信息系统安全”的技术范畴,数据安全应作为独立法益加以保护,从“技术性”回归“本体性”。目前,我国刑事立法在数据安全保护方面仍存在观念落后、立法滞后、司法保护不足的缺陷和问题。由于数据安全法益属性和保护层次界定不明,仅有的以数据为规制对象的非法获取计算机信息系统数据和破坏计算机信息系统罪,与信息安全犯罪、网络安全犯罪以及其他传统犯罪之间的界限难以厘清。在此情况下,就特别需要围绕数据安全的法益保护,对不同种类的数据进行法益识别,确定刑法保护的重点以及所应适用的罪名,在此方面,数据的分类分级具有重要的法益识别功能,但目前数据安全立法并没有作出系统全面和细致的规定,需要在以往信息安全、网络安全等级保护制度的基础上做进一步完善。将来的刑事立法应着力改变现有的以保护计算机信息系统安全为核心的模式,确立以“数据安全”为核心,完善数据犯罪的相关罪名,为数据安全提供多层次、体系化的刑法保障;司法层面,通过数据分类分级,明确不同种类的数据在数据安全保护方面的不同层级需求,准确适用数据犯罪及其关联罪名,实现数据安全法益的体系化刑法保护。
相关阅读
推荐书目
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
数字法治战略合作伙伴:理财魔方
北京市竞天公诚律师事务所上海分所